教程:为 Microsoft Entra ID 创建自定义工作簿

本教程中,您将学习如何:

  • 创建自定义工作簿
  • 将查询添加到现有工作簿模板

先决条件

若要使用 Log Analytics 分析活动日志,需要以下角色和要求:

如果尚未创建 Log Analytics 工作区,请完成 “配置 Log Analytics 工作区 ”教程。

创建自定义工作簿

除了使用 Kusto 查询语言(KQL)查询数据之外,还可以创建自定义工作簿以进一步分析和发出警报。 创建或更新工作簿的最低特权角色是 安全管理员 角色。

  1. 浏览到“标识”“监视和运行状况”>“工作簿”>

  2. 在“快速入门”部分中,选择“空”选项。

    “快速入门”部分中空白工作簿的屏幕截图。

  3. 在“添加”菜单中,选择“添加文本”。

    “添加文本”菜单选项的屏幕截图。

  4. 在文本框中,输入 # Client apps used in the past week,然后选择“完成编辑”

    屏幕截图显示文本和“完成编辑”按钮。

  5. 在文本窗口下方,打开“添加”菜单,然后选择“添加查询”

    “添加查询”菜单选项的屏幕截图。

  6. 在查询文本框中,输入:SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

  7. 选择“运行查询”。

    屏幕截图显示“运行查询”按钮。

  8. 在工具栏中,从“可视化”菜单中选择“饼图”

    显示饼图菜单选项的屏幕截图。

  9. 选择页面顶部的“完成编辑”

  10. 选择“保存”图标以保存你的工作簿

  11. 在出现的对话框中,输入标题,选择资源组,然后选择“应用”

将查询添加到工作簿模板

可以将 Kusto 查询添加到工作簿。 该示例基于一个查询,该查询展示已应用的条件访问策略下成功和失败登录的分布情况。 创建或更新工作簿的最低特权角色是 安全管理员 角色。

  1. 浏览到“标识”“监视和运行状况”>“工作簿”>

  2. 在“条件访问”部分中,选择“条件访问见解和报表”

    屏幕截图显示“条件访问洞察”和“报告”选项。

  3. 在工具栏中,选择“编辑”

    屏幕截图显示“编辑”按钮。

  4. 在工具栏中,选择“编辑”按钮旁边的三个点,然后选择“添加”,“添加查询”

    添加工作簿查询

  5. 在查询文本框中,输入:SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

  6. 选择“运行查询”。

    屏幕截图显示用于运行该查询的“运行查询”按钮。

  7. 在“时间范围”菜单中,选择“在查询中设置”

  8. 在“可视化效果”菜单中,选择“条形图”

  9. 选择 “高级设置”。

    时间范围、可视化工具和高级设置选项的屏幕截图。

  10. 在“图表标题”字段中,输入 Conditional Access status over the last 20 days 并选择“完成编辑”

    设置图表标题

条件访问成功和失败图表会显示租户的颜色编码快照。